SECURITY

Ransomware-Angriffe heute: Funktionsweise, Arten, Beispiele und Vorbeugung

Beim Thema Cybersicherheit denkt ihr wahrscheinlich zuerst an die Bedrohung durch Ransomware. Ransomware scheint allgegenwärtig zu sein – und ist es tatsächlich auch. Ransomware gehört heute zu den wichtigsten Cyber-Sicherheitsbedrohungen, die sich Tag für Tag auf Einzelpersonen, Unternehmen und Organisationen auswirken. In letzter Zeit hat die Zahl der Ransomware-Angriffe enorm zugenommen und belief sich allein im Jahr 2022 auf mehr als 2,3 Milliarden. Statistiken zeigen, dass:

Es ist daher nicht verwunderlich, dass euer Unternehmen die verschiedenen Arten von Ransomware und deren Verhalten kennen muss, um sie stoppen oder abwehren zu können. In diesem Blog erläutere ich die verschiedenen Arten von Ransomware sowie einige bekannte Beispiele für diese Cyberbedrohung. Außerdem findet ihr hier auch Hinweise, wie ihr euch und euer Unternehmen vor Ransomware-Angriffen schützen könnt.


Top 50 Cyber-Bedrohungen

(Dieser Artikel wurde von Shanika Wickramasinghe verfasst. Weitere Splunk Learn-Beiträge von Shanika findet ihr hier.)


Was ist Ransomware?

Sehen wir uns zunächst die formale Definition dieser Bedrohung an.

Bei Ransomware handelt es sich um Malware, die über verschiedene Wege, wie etwa Phishing, schädliche Websites und bösartige Downloads, Computersysteme infiltriert. Das hat Ransomware mit vielen anderen Arten von Malware gemeinsam. Das Besondere ist jedoch: Sobald Ransomware in euer System eingedrungen ist, verhindert sie den Zugriff auf eure Dateien oder sperrt den Bildschirm eures Computers und droht, euch so lange auszusperren, bis ihr Lösegeld zahlt (engl. „ransom“, daher die Bezeichnung „Ransomware“).

Bei modernen Ransomware-Angriffen wird die Lösegeldzahlung in Form von Kryptowährungen wie Bitcoin gefordert. Das Lösegeld kann sich auf Millionen von Dollar belaufen, je nachdem, um welche Art von Ransomware es sich handelt und auf welches Unternehmen oder welche Person der Angriff zielt. Im Gegensatz zu anderen Cyber-Bedrohungen geht es bei Ransomware um Kontrolle.

Studien zu Ransomware

Unglücklicherweise für uns alle entwickelt sich Ransomware täglich weiter und wird dies auch in Zukunft tun. Bei Splunk gibt es mehrere Security-Teams, die sich ausschließlich mit diesen Bedrohungen befassen, damit jeder – nicht nur unsere Kunden – sie bekämpfen kann. Im Jahr 2021 befassten wir uns mit der Ransomware-as-a-Service (RaaS) von REvil und entwickelten entsprechende Tools, Anleitungen und Unterstützung für die Branche. (Splunk selbst war von diesem Ransomware-Angriff nicht betroffen.)

Letztes Jahr untersuchte unser internes SURGe-Team, wie schnell Ransomware die Daten auf einem Rechner verschlüsseln kann. Sie wollten damit die Frage beantworten, wie viel Zeit man noch hat, bis die Systeme nicht mehr zugänglich sind. Hier ist ein kurzer Auszug aus den Ergebnissen:

Ransomware-Familie

Mittlere Dauer

LockBit

00:05:50

Babuk

00:06:34

Avaddon

00:13:15

Ryuk

00:14:30

REvil

00:24:16

BlackMatter

00:43:03

DarkSide

00:44:52

Conti

00:59:34

Maze

01:54:33

Mespinoza (PYSA)

01:54:54

Durchschnitt des Mittelwerts

00:42:52

Mittlere Ransomware-Geschwindigkeit für 10 Ransomware-Familien

Ihr könnt den Blog oder die gesamte Studie lesen. Weitere Studien zur Bedrohungslandschaft findet ihr in den Beiträgen unseres Threat Research Teams. Als Nächstes sehen wir uns die verschiedenen Arten sowie Beispiele für Ransomware an.

Arten von Ransomware

Lange Zeit gab es im Wesentlichen nur zwei Arten von Ransomware: Crypto- und Locker-Ransomware. Leider sind inzwischen weitere Ransomware-Typen aufgetaucht, die Benutzer und Unternehmen mit unterschiedlichen Ansätzen ins Visier nehmen. Weltweit gibt es derzeit folgende Arten von Ransomware:

  • Crypto-Ransomware
  • Locker-Ransomware
  • Scareware
  • Leakware
  • Ransomware-as-a-Service (RaaS)

Sehen wir uns diese Ransomware-Arten an und wie sie euer Computersystem für euch unzugänglich machen.

Crypto-Ransomware

Diese Art von Ransomware verhindert den Zugriff auf wichtige Dateien und Daten, einschließlich Dokumenten und Multimedia, indem sie diese verschlüsselt und den Entschlüsselungsschlüssel entfernt. Davon abgesehen bleiben die Computer der Opfer funktionsfähig.

Die Angreifer fordern dann ein Lösegeld im Austausch für den Entschlüsselungsschlüssel. Oft blenden sie einen Countdown-Zähler und die Warnung ein, dass die Dateien gelöscht werden, wenn das Lösegeld nicht gezahlt wird. Je nachdem, wie sensibel und wichtig die verschlüsselten Daten sind, neigen die Opfer dazu, das Lösegeld zu zahlen. Es gibt jedoch keine Garantie dafür, dass die Angreifer den Entschlüsselungsschlüssel nach der Bezahlung auch wirklich übergeben.

(Hier findet ihr unsere Einführung in das Thema Verschlüsselung.)

Locker-Ransomware

Locker-Ransomware, auch „Screenlocker“ oder „Bildschirmsperre“ genannt, sperrt euren Computer nach einem Angriff und verhindert den Zugriff auf alle oder einige der Systemdaten und -funktionen. So könnte es beispielsweise sein, dass ihr zwar nicht mehr auf den Desktop des Computers zugreifen, aber die Maus und die Tastatur noch eingeschränkt nutzen könnt.

Bei dieser Art von Ransomware lassen die Angreifer euch nur mit dem Bildschirm interagieren, der die Lösegeldforderung zeigt. Da die wichtigen Daten unverschlüsselt bleiben, werden sie nicht vollständig zerstört. Auch diese Art von Ransomware beinhaltet oft einen Countdown-Zähler, um den Benutzer zu zwingen, das Lösegeld so schnell wie möglich zu zahlen.

Scareware

Der Begriff „Scareware“ enthält das englische Wort „scare“ für „erschrecken“ und dieser Name ist Programm: Scareware erschreckt Opfer mit der Mitteilung, dass ihre Computer mit Malware infiziert sind. Sie verleitet sie dazu, eine Gebühr zu bezahlen oder Antivirus-Software zu kaufen, um das Problem zu beheben. Scareware zeigt sich in der Regel in Form von Pop-up-Fenstern, wenn ihr eine damit infizierte Website besucht oder Software installiert. Das Gemeine daran: Euer Computer ist noch gar nicht mit Malware infiziert – aber die Antivirus-Software, die ihr kaufen sollt, ist bösartig.

Die Malware kann euren Computer nur infizieren, wenn ihr die Software kauft. Andernfalls werden die Daten nicht beeinträchtigt – allerdings wird euer Computer weiterhin mit Pop-up-Fenstern bombardiert.

Scareware wird manchmal auch über Spam-E-Mails verbreitet, die den Benutzer dazu verleiten, etwas zu kaufen, das keinerlei Wert hat. Diese Käufe können Malware enthalten, die sensible Benutzerinformationen stehlen kann.

Leakware (Exfiltration)

Bei Leakware handelt es sich um Ransomware, die über die Verschlüsselung eurer sensiblen Daten hinausgeht. Sie droht, eure Daten an die Öffentlichkeit oder an Dritte weiterzugeben, wenn ihr nicht das geforderte Lösegeld bezahlt. Leakware ist daher gefährlicher als herkömmliche Crypto-Ransomware.

Genau wie Crypto-Ransomware verschlüsselt Leakware das Datenset, sodass es unzugänglich wird, und hält den Entschlüsselungsschlüssel zurück. Die Angreifer zielen auf vertrauliche Daten ab, deren Offenlegung dem Opfer schaden könnte.

Ransomware-as-a-Service (RaaS)

Wie bei Software-as-a-Service handelt es sich bei Ransomware-as-a-Service (RaaS) um ein Geschäftsmodell, das Ransomware Angreifern zur Verfügung stellt, die nicht die Zeit oder das Know-how haben, diese selbst zu entwickeln. Stattdessen können Cyberkriminelle Ransomware von diesen „Unternehmen“ kaufen oder mieten.

Für RaaS wird im Darknet auf dieselbe Weise geworben wie für Waren und Dienstleistungen im echten Internet. Die RaaS-Kunden können über ein Online-Abonnement auf diese Software zugreifen. Ein solches Abonnement kann auch die üblichen Software-as-a-Service-Funktionen wie 24/7-Support und andere Angebote umfassen.

Dieses Geschäftsmodell ermöglicht es RaaS-Kunden, die keine oder nur geringe Ransomware-Kenntnisse haben, schnell und kostengünstig einen Ransomware-Angriff zu starten. RaaS hat die Zunahme von Ransomware-Angriffen daher erheblich begünstigt. Außerdem hat sich daraus ein eigenständiges Ökosystem aus Ransomware-Entwicklern, -Betreibern und anderen Bedrohungsakteuren entwickelt.

Beispiele für Ransomware

Als Nächstes sehen wir uns einige dieser Angriffsarten in Aktion an. Im folgenden Abschnitt stellen wir einige aktuelle Ransomware-Angriffe vor, die aus verschiedenen Gründen berüchtigt sind.

(Wenn ihr mehr über solche Geschichten erfahren wollt, könnten euch diese Bücher zum Thema Security gefallen, die von Sicherheitsprofis empfohlen werden.)

CryptoLocker

Die im September 2013 entdeckte Ransomware CryptoLocker wurde hauptsächlich über das Gameover Zeus-Botnet und E-Mail-Anhänge verbreitet. Um ihre Spuren zu verwischen, forderten die Angreifer ihre Opfer auf, das Lösegeld in Kryptowährung zu bezahlen. Diese Ransomware zielte auf Microsoft Windows-Geräte ab und verschlüsselte Dateien mithilfe des am häufigsten verwendeten Public-Key-Verschlüsselungsverfahrens RSA.

Man wird die gesamten Auswirkungen dieses Angriffs zwar nie ganz genau kennen, doch Experten bestätigen, dass CryptoLocker innerhalb von vier Monaten über 250.000 Computersysteme attackierte. Damit erpressten die Angreifer innerhalb von 9 Monaten mindestens 3 Millionen US-Dollar.

WannaCry

Die 2017 entdeckte WannaCry-Ransomware zielte auf Windows-Systeme mit veralteten Versionen ab, die die EternalBlue-Schwachstelle im SMB-Protokoll aufwiesen. Sie infizierte die Systeme als eigenständige Software, die die ins Visier genommenen Dateien verschlüsseln und den Zugriff der Benutzer darauf verhindern konnte. WannaCry verursachte Schäden von rund 4 Milliarden US-Dollar und verbreitete sich in knapp 150 Ländern.

(Wie immer ging Splunk vom ersten Moment an gegen WannaCry vor.)




Petya 

Im März 2016 wurde die Ransomware Petya entdeckt, die eine komplette Festplatte verschlüsseln konnte. Sie wurde hauptsächlich über gefälschte, mit Malware infizierte Bewerbungen verbreitet. Petya greift den Master Boot Record (MBR) eines Computers an und verschlüsselt dann die Master-Dateitabelle des NTFS-Dateisystems.

Petya gehört zur gleichen Ransomware-Familie wie NotPetya, die kommerzielle und staatliche Organisationen in der Ukraine und anderen Ländern angriff.

W-2 Scareware 

Bei diesen Scareware-Angriffen im Jahr 2017 wurden wichtige US-Steuerdokumente, sogenannte W-2-Formulare, von Unternehmen gestohlen. Dazu schickten die Angreifer Mitarbeitern in Buchhaltungs- oder Personalabteilungen Spam-E-Mails und forderten sie auf, W-2-Formulare zu übermitteln.

Im Anschluss sendeten die Angreifer eine dringende E-Mail mit der Aufforderung, Geld zu überweisen, was zu Verlusten in mindestens vierstelliger Höhe führte.

Maze

Maze ist eine Ransomware, die wir als Leakware einordnen können. Ihr fielen seit 2019 viele Unternehmen zum Opfer. Nach der Datenverschlüsselung droht Maze damit, die Daten weiterzugeben, wenn die Opfer das Lösegeld nicht bezahlen.

Cerber

Cerber ist eine beliebte Ransomware-as-a-Service. Nach der Infektion wird sie unauffällig im Hintergrund ausgeführt und verschlüsselt Dateien. Sie versucht zudem, Windows-Sicherheitsfunktionen, einschließlich Antivirenprogrammen, zu stoppen, damit sie sich weiter im System verbreiten kann.

Dharma

Dharma wurde 2016 entdeckt und ist eine weitere Ransomware nach dem RaaS-Modell. Angreifer können diese Ransomware über Spam-E-Mails verbreiten, indem sie Schwachstellen im Remote Desktop Protocol (RDP) und beschädigte Setup-Dateien ausnutzen. Die primären Ziele dieser Ransomware sind die Verzeichnisse von Windows-Systemen.

DarkSide

DarkSide ist ebenfalls eine Ransomware vom Typ RaaS, die zunächst auf Windows-Rechner abzielte, später jedoch auch Linux-Rechner ins Visier nahm. DarkSide wird der Verbrechergruppe Carbon Spider zugeschrieben und greift nicht gepatchte VMware an oder stiehlt vCenter-Anmeldeinformationen.

(Hier erfahrt ihr mehr über DarkSide und den Angriff auf Colonial Pipeline, den Betreiber einer der größten Treibstoffpipelines in den USA)

Bad Rabbit

Bad Rabbit ist eine Ransomware, die im Oktober 2017 entdeckt wurde und vor allem russische Medienagenturen angriff. Sie wurde über kompromittierte Websites mit gefälschten Adobe Flash-Updates verbreitet. Nach einem Angriff verschlüsselt sie die Dateisysteme mit RSA-2048-Bit-Schlüsseln und fordert eine Lösegeldzahlung in Kryptowährung.

Wie kann man Ransomware-Angriffe stoppen?

Angreifer entwickeln ihre Strategien zwar ständig weiter, doch mithilfe von Best Practices für Sicherheit könnt ihr es ihnen zumindest erschweren, euren Computer und eure Daten zu kapern.

  • Schützt eure Benutzerkonten. Verwendet Zwei- oder Multi-Faktor-Authentifizierungsmechanismen (MFA), um eine zusätzliche Sicherheitsebene für eure Konten einzurichten.
  • Legt keine persönlichen Informationen offen. Ransomware-Angreifer spionieren ihre Ziele vor dem Angriff aus. Sie können über eure Social-Media-Profile an persönliche Informationen gelangen, falls ihr diese öffentlich teilt. Gebt also niemals private Informationen preis, es sei denn, es ist absolut notwendig.
  • Installiert robuste Antivirensoftware. Die Installation eines Antivirenprogramms ist der erste Schritt, doch ihr müsst es auch regelmäßig aktualisieren, um die am weitesten entwickelten, neuesten Ransomwares abzufangen.
  • Achtet darauf, dass eure Systeme auf dem neuesten Stand sind. Stellt sicher, dass eure Betriebssysteme, Firmware und sonstige Software regelmäßig mit Patches für Sicherheitslücken aktualisiert werden.
  • Schützt eure sensiblen Daten. Implementiert Mechanismen zur Zugriffssteuerung für eure sensiblen Daten. Regelt den Zugriff nach dem Least-Privilege-Prinzip.
  • Erstellt Back-ups von eurem Dateisystem und euren Daten. Regelmäßige Back-ups helfen euch, eure Dateien wiederherzustellen, falls ihr eure Originaldateien durch Ransomware verliert. Back-ups sollten verschlüsselt und mit angemessener Zugriffskontrolle sicher gespeichert werden.
  • Verhindert Schwachstellen durch RDP-Ports. Entfernt RDP-Ports, wenn diese nicht mehr verwendet werden. Überwacht Ports ständig auf ungewöhnliches Verhalten. 
  • Schult eure Mitarbeiter zum Thema Ransomware. Mitarbeiter müssen Ransomware erkennen können und wissen, welche Maßnahmen sie in einem solchen Fall ergreifen sollen. Mit regelmäßigen Schulungen zum Sicherheitsbewusstsein und zufälligen Ransomware-Simulationen könnt ihr Mitarbeiter identifizieren, die gefährdet sind.
  • Konfiguriert Spam-Filter. Konfiguriert eure E-Mail-Software so, dass Spam-Mails herausgefiltert werden. Zudem könnt ihr sichere E-Mail-Gateways verwenden, um Phishing-Angriffe abzuwehren. 
  • Implementiert das Zero-Trust-Modell für Netzwerksicherheit. Das Zero-Trust-Modell fordert strenge Identitätsprüfungen für alle Benutzer und Geräte, die versuchen, eine Verbindung zu einem privaten Netz herzustellen. Benutzer müssen sich einer strengen Identitätsprüfung unterziehen, unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerks befinden. Das macht es für Malware schwierig, in solche Netzwerke einzudringen.

Wenn ihr mehr erfahren möchtet, besucht StopRansomware.gov, die Haupt-Website der US-Regierung mit Hinweisen zur effektiven Bekämpfung von Ransomware.

Ransomware ist auch 2023 eine der Hauptbedrohungen

Da täglich neue Varianten auftauchen, bleibt Ransomware eine der größten Sicherheitsbedrohungen. Unternehmen und Einzelpersonen müssen daher unbedingt wachsam bleiben.

Derzeit gibt es fünf verschiedene Arten von Ransomware: Crypto-Ransomware, Locker-Ransomware, Scareware, Leakware und RaaS. RaaS setzt sich immer mehr durch, da dieser Ransomware-Typ es selbst Angreifern mit geringen Ransomware-Kenntnissen problemlos ermöglicht, einen Angriff durchzuführen.

Weitere Artikel zu diesem Thema

 

Video: Was ist Splunk?

Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.

Splunk
Posted by

Splunk